NVIDIAがGTC 2026(2026年3月16日)で発表した「NemoClaw」は、OpenClawのセキュリティ・プライバシー層を強化するオープンソーススタックです。OpenClawの競合ではなく、OpenClawを包み込む構造になっており、企業や業務利用での安全なAIエージェント運用を実現することを目指しています。
本記事では、NemoClawとは何か、OpenClawとの関係、ポリシーファイルの設定方法、導入フロー、実際に触れてみての所感をまとめます。
NemoClawとは
NemoClawはNVIDIAが発表したOpenClaw専用のセキュリティプラグインです。内部では OpenShell というサンドボックスランタイムを使い、AIエージェントをLinuxコンテナで隔離します。ファイルシステム・ネットワーク・プロセスをポリシーで制御し、OpenClaw単体では防ぎきれなかったセキュリティ上の問題に対処します。
構成は以下の3層です:
- OpenShell: 汎用サンドボックスランタイム。AIエージェントをLinuxコンテナで隔離
- NemoClaw: OpenClaw専用プラグイン(セキュリティ・プライバシー層)
- OpenClaw: サンドボックス内で動作するエージェント本体
OpenClawのセキュリティ問題とは
OpenClawには tools.deny による制限機能がありますが、アプリケーション層での制御であるため、バグや迂回経路が発見されると突破されてしまうリスクがあります。プロンプトインジェクション攻撃によるデータ漏洩や、意図しないシステムコールの実行が代表的な懸念点です。
セキュリティの4層防御
NemoClawは以下の4層でセキュリティを確保します:
| 層 | 技術 |
|---|---|
| ファイルシステム | Landlock LSM(カーネルモジュール) |
| ネットワーク | egress proxy + アプリケーション単位制御 |
| プロセス | seccomp + コンテナ隔離 |
| 推論 | ゲートウェイ経由ルーティング |
最大の特徴は「アプリ層ではなくカーネル層で強制される」点です。OpenClawの tools.deny と異なり、バグや迂回方法が発見されても突破できません。
ネットワーク制御の仕組み
NemoClawのネットワーク制御は Deny by default が原則で、全通信がデフォルトでブロックされます。許可は「アプリケーション×ホスト」の組み合わせで明示的に指定します。
例えば:
git→ GitHub接続を許可curl→ ブロック
このような細粒度の制御により、仮にエージェントが悪意あるプロンプトインジェクションを受けても、データの外部流出が不可能になります。
ポリシーファイル
ポリシーはYAML形式で宣言的に記述します。読み書き可能なパス、ネットワーク接続先、許可するバイナリを定義でき、GitOpsでの運用も可能です。
| |
このようなポリシーファイルをリポジトリで管理することで、セキュリティ要件の変更履歴を追跡し、レビュープロセスを通じて変更を管理できます。
OpenClawとの使い分け
| 用途 | 推奨構成 |
|---|---|
| 個人利用、非機密タスク | 素のOpenClaw |
| 機密データ、業務利用、企業導入 | NemoClaw |
現実的には両者を目的に応じて使い分けるのが最適解です。NemoClawは後付け対応が不可能で、新規サンドボックスへの移行が必要なため、導入計画を早めに立てることが重要です。
実際に触れてみての所感
- 良い点: ポリシーファイルの内容が明確で、宣言的に管理できる点は実務での導入に向いている
- 課題: Alpha段階のため、ドキュメントが薄くエラーメッセージも分かりにくい箇所がある。既存のOpenClaw環境に後付けで適用できないため、新規構築が必要
NemoClawはOpenClawを「安全に業務利用可能なレベル」に引き上げるための現実的な解法として注目に値します。企業でのAIエージェント導入を検討しているチームは、今のうちから評価を始めておくとよいでしょう。
参考
- NemoClaw触ってみた:OpenClawのセキュリティ問題を解消できるのか? - Zenn(@takupesoo)
- NemoClaw解説記事早い!! - X(@0x_natto)